WAN as a Service：雲端原生網路解析

許多 IT 總監都面臨著相同的網路歷史包袱。其中一家飯店擁有穩定的光纖線路和合理的防火牆規則；而另一家飯店則執行於不同的電信商、不同的路由器標準以及沒人想在連續假期前夕更動的 VPN。而在零售業，情況往往更糟。新店面迅速擴張，雲端應用程式成倍增加，導致網路最終只能拼湊自 MPLS、寬頻、地方性臨時解決方案以及過多的例外規則。

當旅客 WiFi、員工存取、雲端應用程式和安全性原則都需要在每個站點上一致運行時，這種模式就會瓦解。WAN as a service 是從將每個分公司視為小型網路專案運作，轉變為將廣域網路連線作為託管的雲端交付服務。對於分散式企業來說，這與炒作無關，而是關係到維運的合理性。

擺脫傳統網路的痛苦

一個不斷成長的飯店集團通常不會因為缺乏網際網路存取而失敗，而是因為每個站點的運作方式都不同而面臨困境。

某個飯店擁有可靠的連線，但旅客與員工流量之間的安全隔離做得很差。另一個飯店擁有不錯的旅客 WiFi，但存取雲端 PMS 或協同工作工具的速度卻很慢。第三個站點急需進行變更以支援整修或快閃活動，但網路卻受限於本地設備、電信商交付週期，以及需要有人記得上一個承包商是如何設定 VPN 的。

這就是核心痛點。不是單純的頻寬問題，而是不一致性。

對於連鎖零售業來說，情況也十分類似。銷售點終端（POS）、庫存、數位看板、員工裝置和旅客存取，都在一個從未針對大規模集中管理而設計的分店網路上互相競爭。IT 團隊花費了太多時間在處理本地問題，而沒有足夠的時間來提升整體基礎架構。

為什麼模式正在改變

市場之所以發生變化，是因為企業希望網路的運作方式更像雲端基礎架構。根據 Market.us 的網路即服務市場統計數據，全球 NaaS 市場在 2022 年估值為 115 億美元，在 2023 年成長至 146 億美元，並預計在 2032 年達到 1,155 億美元。

這一成長至關重要，因為它反映了企業 IT 團隊正在做出的更廣泛決策。他們不想再將每個分公司當作一堆設備、線路和例外規則來管理。他們需要集中式的策略、更乾淨的部署，以及可預測的服務交付。

實用規則：如果新增一個場地仍意味著必須逐一重建安全、路由和存取策略，那麼您的 WAN 模式正在阻礙業務發展。

哪些方面最先得到改善

當企業擺脫傳統的分公司網路時，最先獲得的通常是維運上的效益：

更快速的場域標準化，因為原則存在於中央平台，而非個別本機設備的特性中。
更明晰的疑難排解，因為團隊可以跨場域查看流量路徑與服務健康狀況。
更佳的使用者體驗，無論是對員工還是訪客，因為連線不再取決於多年前各場域的建置品質。

關鍵點不在於 WANaaS 讓網路消失了。並非如此。它改變了複雜性存在的位置，以及由誰來管理它。

解析 WAN 服務化 (WAN as a Service)

最簡單的解釋是，wan as a service 將雲端消費模式應用到了 WAN。這與許多團隊在電子郵件、身分識別和基礎架構上已經接受的心態轉變相同。您不再需要擁有每個場域的每個移動元件，而是開始消費一個從中央控制面處理傳輸、路由邏輯、可視性以及通常包含安全性的服務。

A diagram comparing traditional WAN infrastructure with the simplified cloud-delivered WAN as a Service model.

核心架構的轉變

傳統 WAN 設計將效能和原則與分公司硬體緊密結合。WANaaS 透過使用軟體定義模式改變了這一點。WANaaS 平台使用軟體定義網路來分離控制面與數據面，從而能夠根據即時網路狀況，在 MPLS、寬頻和 5G 之間進行動態流量路由，正如 Red River 的 WAN as a service 概述中所述。

在實際應用中，這意味著分公司不再需要孤立地做出每個決策。原則在中央定義，然後一致地應用。該服務可以根據應用程式需求、路徑品質、韌性要求或業務規則來導向流量。

對於 IT 總監來說，有用的問題不在於架構是否優雅。而在於正確的流量是否能在無需在每個場域進行手動調整的情況下獲得正確的處理。

這些移動元件實際上的作用

最重要的三個元件包括：

接入底層 (Access Underlay)
這是您已經熟知的實體連線。光纖、寬頻、行動備援或其混合組合。WANaaS 並未消除對實體線路的需求。它只是讓它們更容易協同工作。
軟體定義重疊網路 (Software-Defined Overlay)
這是路徑選擇、流量導向、分段和韌性邏輯所在的位置。這就是讓場域能夠使用多種連線類型而不會變得混亂的關鍵。
雲端管理層
這是許多團隊最看重的部分。您可獲得集中式可視性、集中式原則，以及比逐個分部管理更具擴充性的服務模型。

關於該營運模型，有一個實用的外部觀點，請參閱透過 WaaS 最佳化企業網路，其中探討了如何擺脫僵化、以站點為中心的 WAN 設計，並轉向以服務為基礎的管理。若要進一步瞭解雲端型網路模型，Purple 的網路即服務指南也非常值得一讀。

將 WANaaS 視為一種營運模型，而非單純的線路替代方案。如果僅更換傳輸方式，卻保留相同的繁瑣人工流程，您將無法獲得其主要優勢。

哪些可行，哪些不可行

可行的是利用 WANaaS 來簡化多個場域的控制。飯店集團可以集中優化 PMS、付款、語音和員工協作流量的優先順序，同時保持訪客存取隔離。零售商可以在所有地方部署相同的分部原則，而無需逐店重建網路設計。

不可行的是指望 WANaaS 單獨解決不良的應用程式設計、脆弱的身分驗證控制或不一致的 LAN 標準。它能改善 WAN，但無法消除所有上游和下游問題。

WANaaS 與 MPLS 及 SD-WAN 的比較

一家在一個季度內開設三家翻新物業的飯店集團，不需要另一個分部設計專案。它需要每個站點快速上線，並在第一天就讓付款、PMS、員工應用程式和訪客 WiFi 發揮相同的效能。這正是比較 WANaaS、MPLS 與 SD-WAN 的背景背景。

大多數 IT 團隊並非從零開始選擇。他們通常是在處理累積多年的 MPLS、自我管理 SD-WAN、一般網際網路連結和分部安全性設備的混合環境。

流量模式也有所改變。與以中樞節點（Hub-and-spoke）WAN 設計為預設架構時相比，企業現在將更多流量直接發送到雲端和 SaaS 平台。如企業 WAN 現況報告中指出，這一轉變與更廣泛的 SASE 採用相輔相成。一旦分部流量直接導向 Microsoft 365、雲端 PMS 平台、協作工具和身分識別服務，將所有內容回傳至中心點的做法就變得難以自圓其說。

網路架構比較

評估標準	MPLS	DIY SD-WAN	WAN 即服務
雲端契合度	通常圍繞著集中式回傳建置	如果設計得當，與雲端的契合度更佳	圍繞著雲端交付原則與服務消費而設計度
運維所有權	高度依賴供應商與合約，且本地分部複雜度高	在設計、硬體和生命週期管理方面，內部責任重大	更多責任由服務供應商和雲端管理平台承擔
新據點部署敏捷度	通常較慢且缺乏彈性	比 MPLS 更有彈性，但部署品質取決於您的團隊和工具	非常適合在分佈式場所中進行標準化的分部分店部署
安全性模型	歷史上與傳輸分離	可以很強大，但通常需要多個整合	通常內建整合的安全控制與中央策略
硬體負擔	高度依賴分部與邊緣設備	在許多部署中仍相當顯著	在雲端原生模型中，本地複雜度較低
最佳適用場景	流量可預測且規劃週期長、營運穩定的企業環境	想要掌控權且能吸收運維開銷的團隊	尋求託管敏捷性、中央策略和更乾淨擴充規模的企業組織

MPLS 仍有一席之地之處

MPLS 仍然適合某些環境。如果企業擁有高度穩定的據點、長期的規劃週期、緊密的電信商關係以及一組少數且可預測的應用程式，它仍然非常有用。

問題不在於 MPLS 停止運作，而是在於許多餐旅和零售業環境在其周圍發生了變化。新據點開設的速度變快了。更多服務託管於雲端。賓客對 WiFi 品質的期望更高。員工越來越多地透過雲端身分識別平台進行身分驗證，而這些身分識別決策需要分部網路做出快速且一致的響應。

DIY SD-WAN 的優勢與痛點

DIY SD-WAN 解決了真正的痛點。它為網路團隊提供了路徑選擇、傳輸彈性，以及對寬頻和網際網路線路的更佳利用。對於擁有強大內部工程能力的組織而言，這種掌控權仍然值得擁有。

但代價是運維負擔。您的團隊仍然必須選擇廠商、維護邊緣硬體、更新軟體、整合防火牆與安全網頁閘道、排除分部異常，並保持每個場所的標準一致。在零售連鎖店或飯店集團中，分部據點數量的增長速度通常快於網路團隊的成長。

如果您正在評估這些額外的掌控權是否值得付出相應的維護負擔，Purple 撰寫的分佈式企業的 SD-WAN 優勢指南是一個實用的參考點。

MPLS 以靈活性換取可預測性。DIY SD-WAN 以靈活性換取工程人員的心力投入。WANaaS 則是為希望擁有中央政策和更快部署速度、而不必親自管理技術堆疊中每個部分的企業組織所設計。

選擇您的團隊能夠駕馭的模式

核心決策關鍵在於營運模式，而非功能清單。

實力雄厚的網路工程團隊可能更偏好自行設計 SD-WAN、安全防護堆疊與雲端整合。如果企業能接受後續生命週期維護的負擔，這種做法確實可行。然而，許多飯店集團、零售商和綜合商場營運商則希望獲得不同的成效。他們需要一致性的網路分段、更快的站點啟用速度，以及更少針對特定分部的例外處理。

當 WiFi 存取與身分識別綁定時，這一點就顯得更為重要。如果訪客存取使用 OpenRoaming ，而員工存取依賴 Entra ID 或 Okta 核發的憑證，則不能將 WAN 僅視為獨立的底層網路線路。原則政策必須從 WAN 延伸至場域邊緣，以確保訪客流量維持隔離、員工裝置繼承正確的存取權限，且雲端安全性控制項能獲取所需的用戶與裝置背景資訊。與拼湊出來的線路和分支機構設備相比，WANaaS 更契合這種模式，因為它提供了一種更乾淨俐落的方式，將政策跨站點套用，並進一步延伸至訪客和員工所使用的 WiFi 體驗。

將安全性融入您的 WAN 架構

舊有的分支機構模式將安全性視為連線建立後才手動疊加的層級。這種方式會導致不一致。某個站點的防火牆政策可能有些許不同。另一個站點延遲了硬體更新。第三個站點則存在無人妥善記錄的例外情況。隨著時間推移，WAN 雖然連通了，卻無法獲得一致的安全防護。

現代 WANaaS 改變了這一切，它將安全性直接納入服務架構中。

現代辦公空間，員工在代表 WAN as a service 技術的數位網路視覺化圖表旁協同工作。

根據 Cloudflare 的 WAN as a Service 白皮書，現代 WANaaS 作為一種雲端原生解決方案，在每一層整合了防火牆、DDoS 緩解和零信任協定，同時消除了大部分的硬體生命週期負擔，並透過單一控制面板提供統一的安全防護狀態。

為什麼這在多站點環境中至關重要

飯店、購物中心或醫療機構需要的，不僅僅是「安全上網」。它需要對不同類型的流量進行區隔處理。

訪客流量應與營運系統保持隔離。員工裝置應根據身分和角色繼承原則政策。付款系統、管理工具、IoT 和第三方租戶服務通常需要專屬的通道。如果這種分段完全取決於地方分部防火牆的手工設定，一致性將難以維持。

WANaaS 在兩方面改善了這一點：

策略集中化，讓每個場域不會成為獨立的安全孤島。
安全服務整合化，而非透過一連串獨立產品與手動交接來強行拼湊。

優質安全設計的特徵

在實務中，強大的 WANaaS 安全性通常包括：

具備身分識別功能的存取決策，使用者和裝置不會僅因處於正確的子網路就獲得廣泛的存取權限。
流量分割，將訪客、員工、營運系統和租戶隔離開來。
集中式檢測與監控，讓團隊能一致地執行策略並調查問題，而無需個別登入每個分部。

這種架構在同時存在信任與非信任使用者的場域中特別有用。飯店和購物中心是顯著的例子，但學生宿舍、診所和住宅大樓也面臨相同的問題。一個實體場所可能包含多個信任區域。

分部不應僅憑位置來決定安全性。它應該根據身分、角色和流量類型來執行策略。

需要注意的權衡

這其中存在權衡。當您將更多控制權移至供應商的雲端平台時，您的可視性與疑難排解模式就會發生變化。您的團隊需要了解供應商的工具、記錄檔（logs）和策略工作流程。如果管理層面足夠成熟，且您的流程能與之適應，這就是個合理的交易。但如果您購買了 WANaaS，卻仍堅持像管理舊版分部防火牆財產一樣管理每個站點，這就是個糟糕的交易。

將 WANaaS 與基於身分的 WiFi 存取相連結

訪客走進飯店，透過 OpenRoaming 加入 WiFi，打開忠誠度應用程式，並希望它立即運作。與此同時，櫃台員工在員工裝置上登入，使用與 Entra ID 或 Okta 綁定的憑證。如果這兩個工作階段都落在同一個區域網路上，且只有 VLAN 標籤進行隔離，則 WAN 所能掌握的情境資訊就非常有限。它只看到流量，看不到意圖。

A person working on a laptop with a digital cloud security icon hovering above the screen.

這種差距在分散式場域中至關重要。飯店、零售物業、診所和綜合用途物業通常會投資於更好的 WAN 策略，卻將 WiFi 存取決策隔離在分部。其結果是顯而易見的。訪客獲得了不錯的登入流程，員工獲得了獨立的身分驗證方法，但由於身分資訊在流量到達 WAN 策略引擎之前就已遺失，中央 IT 仍必須維護廣泛的網路區域。

較佳的設計是從裝置加入 WiFi 的那一刻起，就將身分識別納入跨 WAN 與雲端安全堆疊所使用的原則模型中。Purple 非常符合這種模式，因為它支援透過 OpenRoaming 和 Passpoint 進行無密碼訪客存取，以及與 Entra ID、Okta 和 Google Workspace 綁定的憑證式員工存取。WiFi 平台會先對使用者進行分類。然後，WANaaS 利用該分類來套用正確的路徑、檢測與存取控制。

如何將身分識別延伸至 WAN 邊緣

在實務上，工作流程應該如下所示：

在 WiFi 上驗證使用者
- 訪客使用者透過 OpenRoaming 或 Passpoint 加入。
- 員工使用者使用憑證或與 Entra ID 或 Okta 綁定的目錄支援方法進行驗證。
在存取層指派角色
- 訪客
- 員工
- 約聘人員
- IoT 或共享裝置
將該角色傳遞至網路原則
- 將驗證後的角色對應至 VLAN、SGT、VXLAN 區段或等效的原則標籤，具體取決於您的 WLAN 和 WANaaS 堆疊。
- 在每個場域中保持對應一致。
依身分識別而非僅依 SSID 套用 WANaaS 原則
- 訪客流量流向具有網頁過濾和速率原則的本機網際網路分流。
- 員工流量流向為員工存取定義的私有應用程式、SaaS 控制和檢測點。
- 營運裝置遵循具有更嚴格東西向限制的獨立路由。
集中記錄身分識別與原則決策
- 服務台應能快速回答三個問題：誰連線了？他們被指派了什麼角色？這觸發了哪項 WAN 原則？

這是許多 WANaaS 專案中遺失的環節。

實際原則範例

OpenRoaming 訪客不應該只是連到 "訪客 WiFi"。對於現代營運而言，該標籤過於模糊。該工作階段應對應到 WAN 架構中定義的原則物件，例如：

身分識別來源：Purple OpenRoaming 驗證
角色：訪客
網路區段：僅限訪客網際網路
WAN 原則：本機分流、DNS 過濾、頻寬上限、封鎖對私有 RFC1918 範圍的存取、禁止橫向移動至場域系統
記錄：工作階段開始、場域、裝置類別、套用的原則

使用託管平板電腦的員工應遵循不同的路徑：

身分識別來源：透過 Purple 進行的 Entra ID 或 Okta 憑證式驗證
角色：員工
網路區段：員工安全存取
WAN 策略：路由至商用應用程式、允許核准的 SaaS、根據公司策略檢查流量、封鎖對訪客和 IoT 網段的存取
記錄：使用者身分、裝置狀態（若可用）、應用程式存取事件、策略變更

這就是 WAN 等級的分割如何以實用的方式延伸至 WiFi 邊緣。WLAN 決定使用者是誰。WANaaS 平台決定該身分被允許在跨站點、雲端服務和網際網路出口執行哪些操作。

IT 團隊需要標準化的內容

最困難的部分很少是驗證本身。最困難的部分是策略的一致性。

如果一家飯店將員工對應到 VLAN 20，另一家對應到 VLAN 40，而第三家則依賴無人記錄的本地防火牆物件，那麼 WANaaS 供應商就無法在整個體系中實施乾淨的基於身分的模型。標準角色定義比完美的線路統一性更重要。一個擁有 300 家門市的零售連鎖店，通常藉由四或五個管理良好的身分類別，能比數十個特定站點的例外情況獲得更好的服務。

評估分公司架構的團隊在比較本地 SD-WAN 策略與雲端管理的 WAN 控制時，往往會遇到這一點。這些適用於分散式場域的 SD-WAN 使用案例是應用程式與存取策略如何在站點層級發揮作用的實用參考。

需要規劃的折衷方案

基於身分的強制執行提高了控制力，但同時也提高了整合的品質要求。WLAN、身分識別供應商、NAC 或策略引擎以及 WANaaS 必須在角色名稱、策略標籤和失敗處理上達成一致。如果 Entra ID 無法使用，員工上線引導會發生什麼事？如果 OpenRoaming 成功，但策略標籤未能同步，使用者是會落入受限的保留策略中，還是不小心獲得了廣泛的網際網路存取權限？

好的設計能在早期回答這些問題。它們定義了後備策略，保持角色對應簡單，並從使用者的角度測試上線引導，而不僅僅是從管理主控台。

如果 Purple 識別了使用者，而 WANaaS 平台無法以一致的方式使用該身分，您雖然擁有更好的 WiFi 上線引導，但沒有更好的網路控制。

這就是為什麼基於身分的 WiFi 存取應該被設計為 WAN 架構的一部分，而不是稍後才作為分公司功能附加進去。

WANaaS 在您各個場域中的實際應用

架構之所以重要，是因為它能解決實際存在的問題。不同的行業會遇到不同的問題，但模式是一致的。分散式的場域需要集中控制，而不必消除每個本地需求。

A digital graphic showcasing three connected business scenarios linked by a glowing blue network data overlay.

旅宿餐飲業

飯店集團通常希望同時實現三個目標：順暢的賓客上網引導、安全的員工存取，以及各館店一致的應用程式效能。

透過 WANaaS，該集團可以在所有飯店套用單一路由與分段模型，同時適應當地的線路可用性。賓客流量得以乾淨地分流出去，員工流量安全地抵達業務系統，且中央 IT 無需單獨調整每個據點。如果您正在評估 SD-WAN 與雲端託管 WAN 模式在營運上的適用性，這些適用於分散式場域的 SD-WAN 使用案例提供了實用的背景資訊。

零售業

零售商店很快就會暴露出弱點網路的弊端。付款流量不能等賓客瀏覽網頁的流量平息。數位看板、會員 App、手持裝置與雲端庫存工具，都需要可預測的處理方式。

此處有效的做法是應用程式感知原則結合嚴格的分段。WANaaS 可以優先處理關鍵業務流量，同時保留可用的賓客體驗。而無效的做法則是給每個商店寬鬆的網際網路存取權限，並寄望於本地設備能維持秩序。

醫療保健業

診所和門診據點需要的端點不只是網際網路連通性。他們需要對核心應用程式的可靠存取、臨床與非臨床流量的乾淨隔離，以及更簡單的營運監督。

當醫療保健資產分佈在許多本地 IT 人力有限的小型據點時，WANaaS 模型能提供協助。中央團隊可以將原則標準化、降低分公司複雜性，並避免將每家診所變成一次性的設計。

住宅與多租戶

租賃專用住宅（Build-to-rent）、學生宿舍與混合用途物業，對於傳統的分公司思維來說相當棘手，因為一棟建築的運作方式可能像許多獨立的網路。住戶想要居家般的體驗。員工需要受控的存取權限。共享系統與老舊裝置仍需要控制。

優良的 WANaaS 設計支援每戶隔離、清晰的存取邊界與中央管理。重要的一課是，這些環境不「只是 WiFi 專案」。它們需要 WAN、識別與分段協同運作。

最強大的場域網路不單只是連接各個站點。它們在各個物業之間保持了一致的信任模型。

規劃您的 WANaaS 移轉路徑

最佳的 WANaaS 移轉始於業務摩擦，而非產品展示。如果您從供應商的功能表開始，您將錯失對您的資產至關重要的營運問題。

從您已有的資產開始

根據業務關鍵度、使用者類型、存取方法與支援負擔來稽核站點。旗艦飯店、小型零售分店與醫療診所今天可能都處於同一個 WAN 上，但它們對停機、延遲或原則錯誤的容忍度並不相同。

繪製每個場域實際發生的情況：

流量行為：跨訪客、員工、營運及第三方的使用情況
驗證路徑：適用於使用者、裝置和舊型設備
分店依賴性：例如本地防火牆、VPN 或供應商管理的界接

從營運層面定義成功

保持目標實用。更佳的移轉計劃通常會將成功定義為：更少的本地例外、更流暢的新場域上線流程、更強的區隔，以及更快的故障隔離。

提出直接的問題。新據點是否能在不進行客製化專案的情況下，繼承標準網路設計？員工身分變更是否能流暢地套用到存取策略中？訪客與營運流量是否能在不造成本地規則膨脹的情況下保持隔離？

仔細選擇服務模式

WANaaS 供應商的差異極大。有些在傳輸彈性上很強，但身分整合能力較弱。其他則擁有穩健的安全架構，但營運工具卻很難用。

在您做出承諾之前，請確認：

策略模型。它能否呈現您所運行的信任區域和使用者類型？
可視性。您的團隊是否能獲得實用的監控與排障數據？
整合性。它能否與您的 WLAN、身分識別供應商和雲端應用程式乾淨地對接？
部署方法。供應商是否支援階段性採用，而不需要強行進行高風險的切換？

在幾個具代表性的場域進行短期試行，通常比精美的銷售研討會能告訴您更多。選擇具有不同線路類型、不同使用者組合，且至少有一個棘手舊系統依賴關係的站點。如果該模式在這些地方可行，就有機會順利擴展。

如果您正在評估飯店、零售商店、醫療保健場域或多租戶物業中，訪客 WiFi、員工身分和 WAN 策略應如何相互配合， Purple 是一個起點。它專注於無密碼訪客存取、基於身分的員工連線以及集中式策略控制，這在您試圖將 WiFi 存取決策與更廣泛的 WANaaS 和零信任設計結合時非常實用。

WAN as a Service：雲端原生網路解析